Systemverwaltungshandbuch: Sicherheitsservices · SozeigenSieDateiinformationenan.....143...

Systemverwaltungshandbuch:Sicherheitsservices

Teilenr.: E23287August 2011

Copyright © 2002, 2011, Oracle und/oder verbundene Unternehmen. Alle Rechte vorbehalten.

Diese Software und zugehörige Dokumentation werden im Rahmen eines Lizenzvertrages zur Verfügung gestellt, der Einschränkungen hinsichtlich Nutzung undOffenlegung enthält und durch Gesetze zum Schutz geistigen Eigentums geschützt ist. Sofern nicht ausdrücklich in Ihrem Lizenzvertrag vereinbart oder gesetzlichgeregelt, darf diese Software weder ganz noch teilweise in irgendeiner Form oder durch irgendein Mittel zu irgendeinem Zweck kopiert, reproduziert, übersetzt,gesendet, verändert, lizenziert, übertragen, verteilt, ausgestellt, ausgeführt, veröffentlicht oder angezeigt werden. Reverse Engineering, Disassemblierung oderDekompilierung der Software ist verboten, es sei denn, dies ist erforderlich, um die gesetzlich vorgesehene Interoperabilität mit anderer Software zu ermöglichen.

Die hier angegebenen Informationen können jederzeit und ohne vorherige Ankündigung geändert werden. Wir übernehmen keine Gewähr für deren Richtigkeit.Sollten Sie Fehler oder Unstimmigkeiten finden, bitten wir Sie, uns diese schriftlich mitzuteilen.

Wird diese Software oder zugehörige Dokumentation an die Regierung der Vereinigten Staaten von Amerika bzw. einen Lizenznehmer im Auftrag der Regierungder Vereinigten Staaten von Amerika geliefert, gilt Folgendes:

U.S. GOVERNMENT RIGHTS

Programs, software, databases, and related documentation and technical data delivered to U.S. Government customers are "commercial computer software" or"commercial technical data" pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental regulations. As such, the use, duplication,disclosure, modification, and adaptation shall be subject to the restrictions and license terms set forth in the applicable Government contract, and, to the extentapplicable by the terms of the Government contract, the additional rights set forth in FAR 52.227-19, Commercial Computer Software License (December 2007).Oracle America, Inc., 500 Oracle Parkway, Redwood City, CA 94065, USA.

Diese Software oder Hardware ist für die allgemeine Anwendung in verschiedenen Informationsmanagementanwendungen konzipiert. Sie ist nicht für den Einsatzin potenziell gefährlichen Anwendungen bzw. Anwendungen mit einem potenziellen Risiko von Personenschäden geeignet. Falls die Software oder Hardware fürsolche Zwecke verwendet wird, verpflichtet sich der Lizenznehmer, sämtliche erforderlichen Maßnahmen wie Fail Safe, Backups und Redundancy zu ergreifen, umden sicheren Einsatz dieser Software oder Hardware zu gewährleisten. Oracle Corporation und ihre verbundenen Unternehmen übernehmen keinerlei Haftung fürSchäden, die beim Einsatz dieser Software oder Hardware in gefährlichen Anwendungen entstehen.

Oracle und Java sind eingetragene Marken von Oracle und/oder ihren verbundenen Unternehmen. Andere Namen und Bezeichnungen können Marken ihrerjeweiligen Inhaber sein.

Intel und Intel Xeon sind Marken oder eingetragene Marken der Intel Corporation. Alle SPARC-Marken werden in Lizenz verwendet und sind Marken odereingetragene Marken der SPARC International, Inc. AMD, Opteron, das AMD-Logo und das AMD Opteron-Logo sind Marken oder eingetragene Marken derAdvanced Micro Devices. UNIX ist eine eingetragene Marke der The Open Group.

Diese Software oder Hardware und die zugehörige Dokumentation können Zugriffsmöglichkeiten auf Inhalte, Produkte und Serviceleistungen von Drittenenthalten. Oracle Corporation und ihre verbundenen Unternehmen übernehmen keine Verantwortung für Inhalte, Produkte und Serviceleistungen von Dritten undlehnen ausdrücklich jegliche Art von Gewährleistung diesbezüglich ab. Oracle Corporation und ihre verbundenen Unternehmen übernehmen keine Verantwortungfür Verluste, Kosten oder Schäden, die aufgrund des Zugriffs oder der Verwendung von Inhalten, Produkten und Serviceleistungen von Dritten entstehen.

111013@25097

Inhalt

Vorwort ..................................................................................................................................................25

Teil I Übersicht über die Sicherheit ............................................................................................................ 29

1 Sicherheitsservices (Überblick) .........................................................................................................31Systemsicherheit .................................................................................................................................. 32Kryptografische Services .................................................................................................................... 33Authentifizierungsservices ................................................................................................................. 34Authentifizierung mit Verschlüsselung ............................................................................................ 35Prüfung ................................................................................................................................................. 35Sicherheitsrichtlinie ............................................................................................................................ 35

Teil II System-, Datei- und Gerätesicherheit .............................................................................................. 37

2 Verwalten von Rechnersicherheit (Übersicht) ...............................................................................39Verbesserungen der Rechnersicherheit in der Solaris 10-Version ................................................ 39Steuern des Zugriffs auf ein Computersystem ................................................................................. 40

Gewährleisten physischer Sicherheit ......................................................................................... 40Steuern von Anmeldungen ......................................................................................................... 41

Steuern des Zugriffs auf Dateien ........................................................................................................ 47Geräterichtlinie (Übersicht) ....................................................................................................... 48Gerätezuordnung (Übersicht) .................................................................................................... 49

Steuern des Zugriffs auf Rechnerressourcen .................................................................................... 50Beschränken und Überwachen von Superuser-Zugriffen ...................................................... 50Konfigurieren von rollenbasierter Zugriffssteuerung zum Ersetzen des Superusers .......... 50Verhindern von unbeabsichtigten Verwendungsfehlern bei Rechnerressourcen .............. 51Beschränken von ausführbaren setuid-Dateien ..................................................................... 52

3

Verwenden des Automated Security Enhancement Tool ....................................................... 53Verwenden des Oracle Solaris Security Toolkit ....................................................................... 53Verwenden der Konfiguration "Secure by Default" ................................................................. 53Verwenden von Ressourcenverwaltungsfunktionen .............................................................. 54Verwenden von Oracle Solaris-Zonen ...................................................................................... 54Überwachen der Verwendung von Rechnerressourcen ......................................................... 54Überwachen von Dateiintegrität ................................................................................................ 55

Steuern von Zugriff auf Dateien ........................................................................................................ 55Schützen von Dateien durch Verschlüsselung ......................................................................... 55Verwenden von Zugriffssteuerungslisten ................................................................................. 55Gemeinsames Nutzen von Dateien auf Rechnern ................................................................... 56Beschränken des root-Zugriffs auf gemeinsam genutzte Dateien ........................................ 56

Steuern von Netzwerkzugriff ............................................................................................................. 57Netzwerksicherheitsmechanismen ............................................................................................ 57Authentifizierung und Autorisierung für Remote-Zugriff ..................................................... 58Firewall-Systeme .......................................................................................................................... 60Verschlüsselung und Firewall-Systeme ..................................................................................... 61

Melden von Sicherheitsproblemen ................................................................................................... 62

3 Steuern des Zugriffs auf Systeme (Aufgaben) ................................................................................ 63Steuern von Systemzugriff (Übersicht der Schritte) ........................................................................ 63Schützen von Anmeldungen und Passwörtern (Übersicht der Schritte) ..................................... 64Schützen von Anmeldungen und Passwörtern ................................................................................ 65

▼ So zeigen Sie den Anmeldestatus eines Benutzers an .............................................................. 65▼ So zeigen Sie Benutzer ohne Passwort an .................................................................................. 66▼ So deaktivieren Sie Benutzeranmeldungen vorübergehend ................................................... 67▼ So überwachen Sie fehlgeschlagene Anmeldeversuche ........................................................... 67▼ So überwachen Sie alle fehlgeschlagenen Anmeldeversuche ................................................. 68▼ So erstellen Sie ein Einwahl-Passwort ....................................................................................... 70▼ So deaktivieren Sie Einwahl-Anmeldungen vorübergehend ................................................. 72

Ändern des Passwortalgorithmus (Übersicht der Schritte) ........................................................... 72Ändern des Standardalgorithmus zur Passwortverschlüsselung .................................................. 73

▼ So geben Sie einen Algorithmus zur Passwortverschlüsselung an ......................................... 73▼ So geben Sie einen neuen Passwortalgorithmus für eine NIS-Domain an ........................... 74▼ So geben Sie einen neuen Passwortalgorithmus für eine NIS+-Domain an ......................... 75

Inhalt

Systemverwaltungshandbuch: Sicherheitsservices • August 20114

▼ So geben Sie einen neuen Passwortalgorithmus für eine LDAP-Domain an ........................ 75▼ So installieren Sie ein Passwortverschlüsselungsmodul eines anderen Anbieters ............... 76

Überwachen und Beschränken des Superusers (Übersicht der Schritte) ..................................... 77Überwachen und Beschränken des Superusers ............................................................................... 77

▼ So überwachen Sie, wer den Befehl su ausführt ....................................................................... 78▼ So beschränken und überwachen Sie Superuser-Anmeldungen ........................................... 78

SPARC: Steuern von Zugriff auf Systemhardware (Übersicht der Schritte) ................................ 80Steuern des Zugriffs auf Systemhardware ........................................................................................ 80

▼ So legen Sie fest, dass ein Passwort für Hardwarezugriff erforderlich ist .............................. 80▼ So deaktivieren Sie die Abbruch-Sequenz eines Systems ........................................................ 81

4 Steuern des Zugriffs auf Geräte (Aufgaben) ................................................................................... 83Konfigurieren von Geräten (Übersicht der Schritte) ...................................................................... 83Konfigurieren der Geräterichtlinie (Übersicht der Schritte) ......................................................... 84Konfigurieren der Geräterichtlinie ................................................................................................... 84

▼ So zeigen Sie die Geräterichtlinie an .......................................................................................... 84▼ So ändern Sie die Geräterichtlinie auf einem vorhandenen Gerät ......................................... 85▼ So prüfen Sie Änderungen der Geräterichtlinie ....................................................................... 86▼ So rufen Sie IP MIB-II-Informationen von einem /dev/*-Gerät ab ..................................... 86

Verwalten der Gerätezuordnung (Übersicht der Schritte) ............................................................ 87Verwalten der Gerätezuordnung ....................................................................................................... 88

▼ So aktivieren Sie die Zuordnung eines Geräts .......................................................................... 88▼ So autorisieren Sie Benutzer für die Zuordnung eines Geräts ................................................ 89▼ So zeigen Sie Zuordnungsinformationen zu einem Gerät an ................................................. 90▼ Erzwingen der Gerätezuordnung .............................................................................................. 90▼ Erzwingen der Aufhebung der Gerätezuordnung ................................................................... 91▼ So ändern Sie die Zuordenbarkeit von Geräten ....................................................................... 91▼ So prüfen Sie die Gerätezuordnung ........................................................................................... 92

Zuordnen von Geräten (Übersicht der Schritte) ............................................................................. 93Zuordnen von Geräten ....................................................................................................................... 93

▼ So ordnen Sie ein Gerät zu .......................................................................................................... 93▼ So hängen Sie ein zugeordnetes Gerät ein ................................................................................. 94▼ So heben Sie die Zuordnung eines Geräts auf ........................................................................... 97

Geräteschutz (Referenz) ..................................................................................................................... 98Befehle der Geräterichtlinie ........................................................................................................ 98

Inhalt

5

Gerätezuordnung ......................................................................................................................... 99

5 Verwenden von Basic Audit Reporting Tool (Aufgaben) ............................................................ 107Basic Audit Reporting Tool (Übersicht) ......................................................................................... 107

Funktionen von BART .............................................................................................................. 108Komponenten von BART ......................................................................................................... 108

Verwenden von BART (Übersicht der Schritte) ............................................................................ 111Verwenden von BART (Aufgaben) ................................................................................................. 111

Sicherheitsüberlegungen zu BART .......................................................................................... 112▼ So erstellen Sie ein Manifest ...................................................................................................... 112▼ So passen Sie ein Manifest an .................................................................................................... 114▼ So vergleichen Sie Manifeste für das gleiche System über einen längeren Zeitraum ......... 118▼ So vergleichen Sie Manifeste von verschiedenen Systemen .................................................. 120▼ So passen Sie einen BART-Bericht durch Angeben von Dateiattributen an ...................... 123▼ So passen Sie einen BART-Bericht durch eine Regeldatei an ............................................... 124

Manifeste, Regeldateien und Berichte von BART (Referenz) ...................................................... 125Format der BART-Manifest-Datei ........................................................................................... 125Format der BART-Regeldatei ................................................................................................... 126Berichterstellung bei BART ...................................................................................................... 128

6 Steuern des Zugriffs auf Dateien (Aufgaben) ............................................................................... 131Schützen von Dateien mithilfe von UNIX-Berechtigungen ........................................................ 131

Befehle zum Anzeigen und Schützen von Dateien ................................................................ 131Datei- und Verzeichniseigentümerschaft ............................................................................... 132UNIX-Dateiberechtigungen ..................................................................................................... 133Besondere Dateiberechtigungen (setuid, setgid und Sticky Bit) ...................................... 134umask-Standardwert .................................................................................................................. 135Dateiberechtigungsmodi .......................................................................................................... 136

Schützen von UFS-Dateien mithilfe von Zugriffssteuerungslisten ............................................. 138ACL-Einträge für UFS-Dateien ................................................................................................ 140ACL-Einträge für UFS-Verzeichnisse ..................................................................................... 140Befehle zum Verwalten von UFS-ACLs .................................................................................. 141

Vermeiden von Sicherheitsrisiken in Verbindung mit ausführbaren Dateien .......................... 141Schützen von Dateien (Übersicht der Schritte) ............................................................................. 142Schützen von Dateien mithilfe von UNIX-Berechtigungen (Übersicht der Schritte) .............. 143

Inhalt


▼ So zeigen Sie Dateiinformationen an ....................................................................................... 143▼ So ändern Sie den Eigentümer einer lokalen Datei ................................................................ 144▼ So ändern Sie die Gruppeneigentümerschaft einer Datei ..................................................... 145▼ So ändern Sie die Dateiberechtigungen im symbolischen Modus ....................................... 146▼ So ändern Sie Dateiberechtigungen im absoluten Modus .................................................... 147▼ So ändern Sie besondere Dateiberechtigungen im absoluten Modus ................................. 148

Schützen von UFS-Dateien mit ACLs (Übersicht der Schritte) .................................................. 149▼ So stellen Sie fest, ob eine Datei über eine ACL verfügt ......................................................... 149▼ So fügen Sie einer Datei ACL-Einträge hinzu ......................................................................... 150▼ So kopieren Sie eine ACL .......................................................................................................... 152▼ So ändern Sie die ACL-Einträge für eine Datei ...................................................................... 152▼ So löschen Sie ACL-Einträge aus einer Datei ......................................................................... 153▼ So zeigen Sie ACL-Einträge für eine Datei an ......................................................................... 153

Schützen vor Programmen mit Sicherheitsrisiko (Übersicht der Schritte) ............................... 155▼ So suchen Sie Dateien mit besonderen Dateiberechtigungen .............................................. 155▼ So hindern Sie Programme an der Verwendung ausführbarer Stacks ................................ 156

7 Verwenden von Automated Security Enhancement Tool (Aufgaben) ..................................... 159Automated Security Enhancement Tool (ASET) .......................................................................... 159

ASET-Sicherheitsebenen .......................................................................................................... 160ASET-Aufgabenliste .................................................................................................................. 161ASET-Ausführungsprotokoll ................................................................................................... 164ASET-Berichte ........................................................................................................................... 165ASET-Master-Dateien ............................................................................................................... 167ASET-Umgebungsdatei (asetenv) .......................................................................................... 168Konfigurieren von ASET ........................................................................................................... 168Wiederherstellen der von ASET geänderten Systemdateien ................................................ 171Netzwerkbetrieb mit dem NFS-System ................................................................................... 172ASET-Umgebungsvariablen ..................................................................................................... 173Beispiele für ASET-Dateien ...................................................................................................... 176

Ausführen von ASET (Übersicht der Schritte) .............................................................................. 178▼ So führen Sie ASET interaktiv aus ............................................................................................ 178▼ So führen Sie ASET in regelmäßigen Abständen aus ............................................................ 180▼ So halten Sie die regelmäßige Ausführung von ASET an ...................................................... 180▼ So erfassen Sie ASET-Berichte auf einem Server ................................................................... 181

Inhalt

7

Fehlerbehebung bei ASET-Problemen ........................................................................................... 182ASET-Fehlermeldungen ........................................................................................................... 182

Teil III Rollen, Berechtigungsprofile und Berechtigungen .................................................................... 187

8 Verwenden von Rollen und Berechtigungen (Übersicht) .......................................................... 189Neuerungen bei RBAC ...................................................................................................................... 189Rollenbasierte Zugriffssteuerung (Übersicht) ............................................................................... 190

RBAC: eine Alternative zum Superuser-Modell .................................................................... 190Oracle Solaris RBAC-Elemente und Basiskonzepte .............................................................. 193Berechtigungseskalation ........................................................................................................... 196RBAC-Autorisierungen ............................................................................................................. 196Autorisierungen und Berechtigungen ..................................................................................... 197Privilegierte Anwendungen und RBAC .................................................................................. 197RBAC-Berechtigungsprofile ..................................................................................................... 198RBAC-Rollen .............................................................................................................................. 199Profil-Shells und RBAC ............................................................................................................. 200Name Service-Bereich und RBAC ............................................................................................ 200Sicherheitsüberlegungen bei direkter Zuweisung von Sicherheitsattributen .................... 201

Berechtigungen (Übersicht) ............................................................................................................. 201Berechtigungen zum Schutz von Kernel-Prozessen .............................................................. 202Berechtigungsbeschreibungen ................................................................................................. 203Administrative Unterschiede auf einem System mit Berechtigungen ................................ 204Berechtigungen und Systemressourcen .................................................................................. 205Implementieren von Berechtigungen ..................................................................................... 206Zuweisen von Berechtigungen zu Prozessen .......................................................................... 207Zuweisen von Berechtigungen ................................................................................................. 208Berechtigungen und Geräte ...................................................................................................... 210Berechtigungen und Fehlersuche ............................................................................................ 211

9 Rollenbasierte Zugriffssteuerung (Aufgaben) .............................................................................213Verwenden von RBAC (Übersicht der Schritte) ............................................................................ 213Konfigurieren von RBAC (Übersicht der Schritte) ....................................................................... 214Konfigurieren von RBAC ................................................................................................................. 215

Inhalt


▼ So planen Sie die RBAC-Implementierung ............................................................................ 215▼ So können Sie eine Rolle mit der GUI erstellen und zuweisen ............................................. 218▼ So erstellen Sie eine Rolle über die Befehlszeile ...................................................................... 221▼ So weisen Sie eine Rolle einem lokalen Benutzer zu .............................................................. 224▼ So prüfen Sie Rollen ................................................................................................................... 225▼ So wandeln Sie den root-Benutzer in eine Rolle um ............................................................. 226

Verwenden von Rollen (Übersicht der Schritte) ........................................................................... 229Verwenden von Rollen ..................................................................................................................... 230

▼ So nehmen Sie eine Rolle in einem Terminalfenster an ........................................................ 230▼ So nehmen Sie eine Rolle in der Solaris Management Console an ....................................... 232

Verwalten von RBAC (Übersicht der Schritte) .............................................................................. 233Verwalten von RBAC ........................................................................................................................ 234

▼ So ändern Sie das Passwort einer Rolle .................................................................................... 234▼ So ändern Sie die Eigenschaften einer Rolle ........................................................................... 236▼ So erstellen oder ändern Sie ein Berechtigungsprofil ............................................................ 238▼ So ändern Sie die RBAC-Eigenschaften eines Benutzers ...................................................... 241▼ So fügen Sie RBAC-Eigenschaften zu Legacy-Anwendungen hinzu ................................... 243

10 Rollenbasierte Zugriffssteuerung (Übersicht) .............................................................................247Inhalt der Berechtigungsprofile ....................................................................................................... 247

Berechtigungsprofil "Primary Administrator" ....................................................................... 248Berechtigungsprofil "System Administrator" ......................................................................... 249Berechtigungsprofil "Operator" ............................................................................................... 249Berechtigungsprofil "Printer Management" ........................................................................... 250Berechtigungsprofil "Basic Solaris User" ................................................................................ 250Berechtigungsprofil "All" .......................................................................................................... 251Reihenfolge der Berechtigungsprofile ..................................................................................... 251Anzeigen des Inhalts von Berechtigungsprofilen ................................................................... 252

Autorisierungsbenennung und -delegation ................................................................................... 252Autorisierungs-Namenskonventionen ................................................................................... 252Beispiel für Autorisierungsgranularität .................................................................................. 253Delegationsautorität in Autorisierungen ................................................................................ 253

Datenbanken, die RBAC unterstützen ............................................................................................ 253RBAC-Datenbankbeziehungen ................................................................................................ 254RBAC-Datenbanken und die Naming Services ...................................................................... 255

Inhalt

9

Datenbank user_attr ............................................................................................................... 255Datenbank auth_attr ............................................................................................................... 256Datenbank prof_attr ............................................................................................................... 258Datenbank exec_attr ............................................................................................................... 259Datei policy.conf .................................................................................................................... 260

RBAC-Befehle .................................................................................................................................... 261Befehle zum Verwalten von RBAC .......................................................................................... 261Befehle, die Autorisierungen erfordern .................................................................................. 262

11 Berechtigungen (Aufgaben) ............................................................................................................265Verwalten und Verwenden von Berechtigungen (Übersicht der Schritte) ................................ 265Verwalten von Berechtigungen (Übersicht der Schritte) ............................................................. 266Verwalten von Berechtigungen ....................................................................................................... 266

▼ So legen Sie die Berechtigungen auf einem Prozess fest ........................................................ 267▼ So legen Sie die für ein Programm erforderlichen Berechtigungen fest .............................. 268▼ So fügen Sie Berechtigungen zu einem Befehl hinzu ............................................................. 270▼ So weisen Sie Berechtigungen einem Benutzer oder einer Rolle zu ..................................... 271▼ So begrenzen Sie die Berechtigungen eines Benutzers oder einer Rolle .............................. 272▼ So führen Sie ein Shell-Skript mit privilegierten Befehlen aus ............................................. 274

Festlegen Ihrer Berechtigungen (Übersicht der Schritte) ............................................................. 275Festlegen Ihrer zugewiesenen Berechtigungen .............................................................................. 275

▼ So legen Sie die Ihnen direkt zugewiesenen Berechtigungen fest ........................................ 275▼ So legen Sie die ausführbaren privilegierten Befehle fest ...................................................... 277▼ So legen Sie die von einer Rolle ausführbaren privilegierten Befehle fest ........................... 278

12 Berechtigungen (Referenz) ..............................................................................................................281Administrative Befehle zum Verarbeiten von Berechtigungen ................................................... 281Dateien mit Berechtigungsinformationen ..................................................................................... 282Berechtigungen und Prüfung ........................................................................................................... 283Verhindern von Berechtigungseskalation ...................................................................................... 284Legacy-Anwendungen und das Berechtigungsmodell ................................................................. 285

Inhalt


Teil IV Kryptografische Services .................................................................................................................287

13 Oracle Solaris Cryptographic Framework (Übersicht) ................................................................ 289Neuerungen bei Oracle Solaris Cryptographic Framework ......................................................... 289Oracle Solaris Cryptographic Framework ...................................................................................... 290Terminologie in Oracle Solaris Cryptographic Framework ........................................................ 291Geltungsbereich von Oracle Solaris Cryptographic Framework ................................................. 292Administrative Befehle in Oracle Solaris Cryptographic Framework ........................................ 293Befehle auf Benutzerebene in Oracle Solaris Cryptographic Framework .................................. 293

Binäre Signaturen für Drittanbietersoftware .......................................................................... 294Plugins von Oracle Solaris Cryptographic Framework ................................................................ 294Kryptografische Services und Zonen .............................................................................................. 295

14 Oracle Solaris Cryptographic Framework (Aufgaben) ................................................................ 297Verwenden von Cryptographic Framework (Übersicht der Schritte) ........................................ 297Schützen von Dateien mit Oracle Solaris Cryptographic Framework (Übersicht derSchritte) .............................................................................................................................................. 298Schützen von Dateien mit Cryptographic Framework (Aufgaben) ............................................ 298

▼ So generieren Sie einen symmetrischen Schlüssel mit dem Befehl dd ................................. 298▼ So generieren Sie einen symmetrischen Schlüssel mit dem Befehl pktool ........................ 301▼ So berechnen Sie den Digest einer Datei ................................................................................. 304▼ So berechnen Sie den MAC einer Datei ................................................................................... 305▼ So entschlüsseln und verschlüsseln Sie eine Datei ................................................................. 307

Verwalten von Cryptographic Framework (Übersicht der Schritte) .......................................... 309Verwalten von Cryptographic Framework (Aufgaben) ............................................................... 310

▼ So listen Sie verfügbare Provider auf ....................................................................................... 310▼ So fügen Sie einen Softwareprovider hinzu ............................................................................ 313▼ So verhindern Sie die Verwendung eines Mechanismus auf Benutzerebene ..................... 314▼ So verhindern Sie die Verwendung eines Kernel-Modul-Softwareproviders .................... 316▼ So listen Sie Hardwareprovider auf .......................................................................................... 318▼ So deaktivieren Sie Mechanismen und Funktionen eines Hardwareproviders .................. 319▼ So führen Sie eine Aktualisierung oder einen Neustart aller kryptografischen Services

durch ............................................................................................................................................ 321

Inhalt

11

15 Oracle Solaris Key Management Framework ................................................................................ 323Verwalten von Public-Key-Technologien ...................................................................................... 323Dienstprogramme von Key Management Framework ................................................................. 324KMF-Richtlinienverwaltung ............................................................................................................ 325KMF-Schlüsselspeicherverwaltung ................................................................................................. 325Verwenden von Key Management Framework (Übersicht der Schritte) ................................... 325Verwenden von Key Management Framework (Aufgaben) ........................................................ 326

▼ So erstellen Sie ein Zertifikat mit dem Befehl pktool gencert ........................................... 326▼ So importieren Sie ein Zertifikat in den Schlüsselspeicher ................................................... 327▼ So exportieren Sie ein Zertifikat und einen privaten Schlüssel im PKCS #12-Format ...... 329▼ So generieren Sie einen Passwortsatz mit dem Befehl pktool setpin ............................... 330

Teil V Authentifizierungsservices und sichere Kommunikation ......................................................... 333

16 Verwenden von Authentifizierungsservices (Aufgaben) ...........................................................335Übersicht zu Secure RPC .................................................................................................................. 335

NFS-Services und Secure RPC ................................................................................................. 335DES-Verschlüsselung mit Secure NFS .................................................................................... 336Kerberos-Authentifizierung ..................................................................................................... 336Diffie-Hellman-Authentifizierung und Secure RPC ............................................................. 336

Verwalten von Secure RPC (Übersicht der Schritte) .................................................................... 340Verwalten von Authentifizierung mit Secure RPC (Aufgaben) ................................................... 341

▼ So starten Sie den Schlüsselserver mit Secure RPC neu ......................................................... 341▼ So richten Sie einen Diffie-Hellman-Schlüssel für einen NIS+-Host ein ............................ 342▼ So richten Sie einen Diffie-Hellman-Schlüssel für einen NIS+-Benutzer ein ..................... 343▼ So richten Sie einen Diffie-Hellman-Schlüssel für einen NIS-Host ein ............................... 344▼ So richten Sie einen Diffie-Hellman-Schlüssel für einen NIS-Benutzer ein ....................... 344▼ So können Sie NFS-Dateien mit Diffie-Hellman-Authentifizierung gemeinsam nutzen . 346

17 Verwenden von PAM .........................................................................................................................347PAM (Übersicht) ............................................................................................................................... 347

Vorteile der Verwendung von PAM ........................................................................................ 347Einführung zum PAM-Framework ......................................................................................... 348Änderungen am PAM in der Version Solaris 10 .................................................................... 349

Inhalt


PAM (Aufgaben) ................................................................................................................................ 350PAM (Übersicht der Schritte) ................................................................................................... 350Planen Ihrer PAM-Implementierung ...................................................................................... 351

▼ So fügen Sie ein PAM-Modul hinzu ......................................................................................... 352▼ So verhindern Sie mit PAM den Zugriff von Remote-Systemen im Rhost-Stil .................. 353▼ So protokollieren Sie PAM-Fehlerberichte ............................................................................. 353

PAM-Konfiguration (Referenz) ....................................................................................................... 353PAM-Konfigurationsdateisyntax ............................................................................................. 354Funktionsweise von PAM-Stacking ......................................................................................... 354Beispiel für PAM-Stacking ........................................................................................................ 358

18 Verwenden von SASL ........................................................................................................................361SASL (Übersicht) ............................................................................................................................... 361SASL (Referenz) ................................................................................................................................. 362

SASL-Plugins .............................................................................................................................. 362SASL-Umgebungsvariable ........................................................................................................ 362SASL-Optionen .......................................................................................................................... 363

19 Verwenden von Oracle Solaris Secure Shell (Aufgaben) ............................................................ 365Oracle Solaris Secure Shell (Übersicht) .......................................................................................... 365

Oracle Solaris Secure Shell-Authentifizierung ....................................................................... 366Secure Shell in the Enterprise ................................................................................................... 368

Oracle Solaris Secure Shell und das OpenSSH-Projekt ................................................................ 368Oracle Solaris Secure Shell (Übersicht der Schritte) ..................................................................... 370Konfigurieren von Oracle Solaris Secure Shell (Übersicht der Schritte) .................................... 370Konfigurieren von Oracle Solaris Secure Shell (Aufgaben) .......................................................... 370

▼ So richten Sie eine hostbasierte Authentifizierung für Secure Shell ein .............................. 371▼ So aktivieren Sie Secure Shell v1 ............................................................................................... 373▼ So konfigurieren Sie die Port-Weiterleitung in Secure Shell ................................................ 374

Verwenden von Oracle Solaris Secure Shell (Übersicht der Schritte) ......................................... 375Verwenden von Oracle Solaris Secure Shell (Aufgaben) .............................................................. 376

▼ So generieren Sie ein Paar aus öffentlichem und privatem Schlüssel für Secure Shell ....... 376▼ So ändern Sie den Passwortsatz für einen privaten Secure Shell-Schlüssel ......................... 378▼ So melden Sie sich bei einem Remote-Host mithilfe von Secure Shell an ........................... 379▼ So reduzieren Sie die Aufforderungen zur Passworteingabe in Secure Shell ...................... 380

Inhalt

13

▼ So richten Sie den Befehl ssh-agent zur automatischen Ausführung in CDE ein ............ 381▼ So verwenden Sie die Port-Weiterleitung in Secure Shell ..................................................... 382▼ So kopieren Sie Dateien mit Secure Shell ................................................................................ 384▼ So richten Sie Standardverbindungen mit Hosts außerhalb einer Firewall ein .................. 385

20 Oracle Solaris Secure Shell (Referenz) ........................................................................................... 389Eine typische Secure Shell-Sitzung .................................................................................................. 389

Sitzungsmerkmale in Secure Shell ........................................................................................... 390Authentifizierung und Schlüsselaustausch in Secure Shell ................................................... 390Befehlsausführung und Datenweiterleitung in Secure Shell ................................................ 391

Client- und Serverkonfiguration in Secure Shell ........................................................................... 392Clientkonfiguration in Secure Shell ......................................................................................... 392Serverkonfiguration in Secure Shell ......................................................................................... 392

Schlüsselwörter in Secure Shell ........................................................................................................ 393Hostspezifische Parameter in Secure Shell .............................................................................. 396Secure Shell und Variablen für die Anmeldeumgebung ....................................................... 397

Verwalten bekannter Hosts in Secure Shell .................................................................................... 398Secure Shell-Pakete und Initialisierung .......................................................................................... 398Secure Shell-Dateien ......................................................................................................................... 399Secure Shell-Befehle .......................................................................................................................... 401

Teil VI Kerberos-Service ...............................................................................................................................405

21 Einführung zum Kerberos-Service .................................................................................................407Allgemeine Informationen zum Kerberos-Service ....................................................................... 407Funktionsweise des Kerberos-Service ............................................................................................. 408

Erstauthentifizierung: das Ticket-gewährende Ticket .......................................................... 409Nachfolgende Kerberos-Authentifizierungen ........................................................................ 411Die Kerberos-Remote-Anwendungen .................................................................................... 412Kerberos-Hauptelemente ......................................................................................................... 413Kerberos-Bereiche ..................................................................................................................... 413Kerberos-Server ......................................................................................................................... 414

Kerberos-Sicherheitsservices ........................................................................................................... 415Die Komponenten verschiedener Kerberos-Versionen ............................................................... 416

Inhalt


Kerberos-Komponenten ........................................................................................................... 416Kerberos-Ergänzungen für die Version Solaris 10 5/08 ........................................................ 418Kerberos-Ergänzungen für die Version Solaris 10 8/07 ........................................................ 418Kerberos-Ergänzungen für die Version Solaris 10 6/06 ........................................................ 418Kerberos-Erweiterungen in der Version Solaris 10 3/05 ....................................................... 418Kerberos-Komponenten in der Version Solaris 9 .................................................................. 421SEAM 1.0.2-Komponenten ...................................................................................................... 421Kerberos-Komponenten in der Version Solaris 8 .................................................................. 422SEAM 1.0.1-Komponenten ...................................................................................................... 422SEAM 1.0-Komponenten ......................................................................................................... 423

22 Planen des Kerberos-Service ...........................................................................................................425Notwendigkeit des Planens von Kerberos-Bereitstellungen ........................................................ 425Planen von Kerberos-Bereichen ...................................................................................................... 426

Bereichsnamen ........................................................................................................................... 426Anzahl der Bereiche ................................................................................................................... 426Bereichshierarchie ..................................................................................................................... 427

Zuordnen von Hostnamen zu Bereichen ....................................................................................... 427Client- und Service-Hauptelementnamen ..................................................................................... 428Ports für die KDC- und Admin-Services ........................................................................................ 429Die Anzahl der Slave-KDCs ............................................................................................................. 429Zuordnen von GGS-Berechtigungsnachweisen zu UNIX-Berechtigungsnachweisen ............ 430Automatische Benutzermigration in einen Kerberos-Bereich .................................................... 430Entscheidung über das zu verwendende System für die Datenbankweitergabe ........................ 431Synchronisierung von Uhren innerhalb eines Bereichs ............................................................... 431Optionen zur Clientkonfiguration .................................................................................................. 431Verbessern der Sicherheit bei der Clientanmeldung .................................................................... 432Optionen zur KDC-Konfiguration ................................................................................................. 433Kerberos-Verschlüsselungstypen .................................................................................................... 433Onlinehilfe-URL im Graphical Kerberos Administration Tool .................................................. 434

23 Konfigurieren des Kerberos-Service (Aufgaben) .........................................................................435Konfigurieren des Kerberos-Service (Übersicht der Schritte) ..................................................... 435Konfigurieren zusätzlicher Kerberos-Services (Übersicht der Schritte) ..................................... 436Konfigurieren von KDC-Servern .................................................................................................... 437

Inhalt

15

▼ So konfigurieren Sie ein Master-KDC manuell ...................................................................... 438▼ So konfigurieren Sie ein KDC zur Verwendung eines LDAP-Datenservers ...................... 443▼ So konfigurieren Sie ein Slave-KDC manuell ......................................................................... 451▼ So aktualisieren Sie die Ticket Granting Service-Schlüssel auf einem Master-Server ....... 455

Konfigurieren von bereichsübergreifender Authentifizierung .................................................... 456▼ So richten Sie eine hierarchische bereichsübergreifende Authentifizierung ein ................ 456▼ So richten Sie eine direkte bereichsübergreifende Authentifizierung ein ........................... 457

Konfigurieren von Kerberos-Netzwerkanwendungsservern ....................................................... 458▼ So konfigurieren Sie einen Kerberos-Netzwerkanwendungsserver .................................... 459

Konfigurieren von Kerberos-NFS-Servern .................................................................................... 461▼ So konfigurieren Sie Kerberos-NFS-Server ............................................................................ 462▼ So erstellen Sie eine Berechtigungsnachweistabelle .............................................................. 463▼ So fügen Sie der Berechtigungstabelle einen einzelnen Eintrag hinzu ................................ 464▼ So ordnen Sie Berechtigungsnachweise zwischen Bereichen zu .......................................... 465▼ So richten Sie eine sichere NFS-Umgebung mit mehreren Kerberos-Sicherheitsmodi

ein ................................................................................................................................................. 466Konfigurieren von Kerberos-Clients ............................................................................................... 468

Konfigurieren von Kerberos-Clients (Übersicht der Schritte) ............................................. 468▼ So erstellen Sie ein Kerberos-Clientinstallationsprofil .......................................................... 469▼ So konfigurieren Sie einen Kerberos-Client automatisch ..................................................... 469▼ So konfigurieren Sie einen Kerberos-Client interaktiv ......................................................... 471▼ So konfigurieren Sie einen Kerberos-Client manuell ............................................................ 472▼ So deaktivieren Sie die Überprüfung des TGT (Ticket Granting Ticket) ........................... 478▼ So greifen Sie auf ein durch Kerberos geschütztes NFS-Dateisystem als root-Benutzer

zu .................................................................................................................................................. 478▼ So konfigurieren Sie eine automatische Migration von Benutzern in einem

Kerberos-Bereich ....................................................................................................................... 480Synchronisieren von Uhren zwischen KDCs und Kerberos-Clients .......................................... 482Austauschen von Master-KDC und Slave-KDC ........................................................................... 484

▼ So konfigurieren Sie ein austauschbares Slave-KDC ............................................................. 484▼ So tauschen Sie ein Master-KDC gegen ein Slave-KDC aus ................................................. 484

Verwalten der Kerberos-Datenbank ............................................................................................... 489Backup und Weitergabe der Kerberos-Datenbank ................................................................ 489

▼ So erstellen Sie ein Backup der Kerberos-Datenbank ............................................................ 491▼ So stellen Sie die Kerberos-Datenbank wieder her ................................................................ 492▼ So konvertieren Sie eine Kerberos-Datenbank nach einem Server-Upgrade ..................... 492

Inhalt


▼ So konfigurieren Sie ein Master-KDC zur Verwendung der inkrementellen Weitergabe 493▼ So konfigurieren Sie ein Slave-KDC zur Verwendung der inkrementellen Weitergabe ... 495▼ So konfigurieren Sie ein Slave-KDC zur Verwendung der vollständigen Weitergabe ...... 496▼ So überprüfen Sie die Synchronisierung der KDC-Server .................................................... 500▼ So führen Sie eine manuelle Weitergabe der Kerberos-Datenbank an Slave-KDCs

durch ............................................................................................................................................ 501Einrichten von paralleler Weitergabe ...................................................................................... 502Konfigurationsschritte zum Einrichten einer parallelen Weitergabe .................................. 502Verwalten der Stash-Datei ........................................................................................................ 503

▼ So entfernen Sie eine Stash-Datei ............................................................................................. 504Verwalten eines KDC auf einem LDAP-Verzeichnisserver ......................................................... 504

▼ So kombinieren Sie Kerberos-Hauptelementattribute mit einem nicht zu Kerberosgehörenden Objektklassentyp .................................................................................................. 504

▼ So löschen Sie einen Bereich auf einem LDAP-Verzeichnisserver ...................................... 505Erhöhen der Sicherheit auf Kerberos-Servern ............................................................................... 506

▼ So aktivieren Sie nur kerberisierte Anwendungen ................................................................. 506▼ So beschränken Sie den Zugriff auf KDC-Server ................................................................... 506▼ So verwenden Sie eine Wörterbuchdatei zur Erhöhung der Passwortsicherheit ............... 507

24 Kerberos-Fehlermeldungen und -Fehlerbehebung ....................................................................509Kerberos-Fehlermeldungen ............................................................................................................. 509

Fehlermeldungen des SEAM-Tools ......................................................................................... 509Häufige Kerberos-Fehlermeldungen (A – M) ........................................................................ 510Häufige Kerberos-Fehlermeldungen (N – Z) ......................................................................... 519

Kerberos-Fehlerbehebung ................................................................................................................ 523Probleme mit dem Format der Datei krb5.conf .................................................................. 523Probleme bei der Weitergabe der Kerberos-Datenbank ....................................................... 523Probleme beim Einhängen eines kerberisierten NFS-Dateisystems ................................... 523Probleme beim Authentifizieren als root ............................................................................... 524Überwachen der Zuordnungen von GSS-Berechtigungsnachweisen zuUNIX-Berechtigungsnachweisen ............................................................................................ 525

25 Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben) ................................. 527Möglichkeiten zur Verwaltung von Kerberos-Hauptelementen und -Richtlinien ................... 527SEAM-Tool ........................................................................................................................................ 528

Inhalt

17

Befehlszeilenäquivalente des SEAM-Tools ............................................................................ 529Die einzige vom SEAM-Tool geänderte Datei ....................................................................... 530Druck- und Onlinehilfefunktionen des SEAM-Tools ........................................................... 530Arbeiten mit großen Listen im SEAM-Tool ........................................................................... 530

▼ So starten Sie das SEAM-Tool .................................................................................................. 531Verwalten von Kerberos-Hauptelementen .................................................................................... 532

Verwalten von Kerberos-Hauptelementen (Übersicht der Schritte) .................................. 532Automatisieren der Erstellung neuer Kerberos-Hauptelemente ......................................... 533

▼ So zeigen Sie die Liste der Kerberos-Hauptelemente an ....................................................... 534▼ So zeigen Sie die Attribute eines Kerberos-Hauptelements an ............................................. 536▼ So erstellen Sie ein neues Kerberos-Hauptelement ................................................................ 538▼ So duplizieren Sie ein Kerberos-Hauptelement ..................................................................... 541▼ So ändern Sie ein Kerberos-Hauptelement ............................................................................. 542▼ So löschen Sie ein Kerberos-Hauptelement ............................................................................ 543▼ So richten Sie Standardwerte zur Erstellung neuer Kerberos-Hauptelemente ein ............ 543▼ So ändern Sie die Kerberos-Administratorberechtigungen ................................................. 544

Verwalten von Kerberos-Richtlinien .............................................................................................. 546Verwalten von Kerberos-Richtlinien (Übersicht der Schritte) ............................................ 546

▼ So zeigen Sie die Liste der Kerberos-Richtlinien an ............................................................... 547▼ So zeigen Sie die Attribute einer Kerberos-Richtlinie an ...................................................... 549▼ So erstellen Sie eine neue Kerberos-Richtlinie ....................................................................... 551▼ So duplizieren Sie eine Kerberos-Richtlinie ........................................................................... 553▼ So ändern Sie eine Kerberos-Richtlinie ................................................................................... 553▼ So löschen Sie eine Kerberos-Richtlinie .................................................................................. 554

SEAM-Tool-Referenz ....................................................................................................................... 555Beschreibungen der SEAM-Tool-Fensterbereiche ................................................................ 555Verwenden des SEAM-Tools mit eingeschränktenKerberos-Administratorberechtigungen ................................................................................ 558

Verwalten von Schlüsseltabellendateien ........................................................................................ 560Verwalten von Schlüsseltabellendateien (Übersicht der Schritte) ....................................... 561

▼ So fügen Sie ein Service-Hauptelement von Kerberos zu einer Schlüsseltabellendateihinzu ............................................................................................................................................ 562

▼ So entfernen Sie ein Service-Hauptelement aus einer Schlüsseltabellendatei .................... 564▼ So zeigen Sie die Schlüsselliste (Hauptelemente) in einer Schlüsseltabellendatei an ......... 565▼ So deaktivieren Sie vorübergehend die Authentifizierung für einen Service auf einem

Host .............................................................................................................................................. 565

Inhalt


26 Verwenden von Kerberos-Anwendungen (Aufgaben) ................................................................569Kerberos-Ticketverwaltung ............................................................................................................. 569

Automatisches Abrufen von Tickets ....................................................................................... 569Erstellen eines Kerberos-Tickets .............................................................................................. 570Anzeigen von Kerberos-Tickets ............................................................................................... 571Löschen von Kerberos-Tickets ................................................................................................. 572

Kerberos-Passwortverwaltung ......................................................................................................... 573Hinweis zum Auswählen eines Passworts ............................................................................... 573Ändern Ihres Passworts ............................................................................................................ 574Gewähren von Zugriff auf Ihr Konto ....................................................................................... 576

Kerberos-Benutzerbefehle ............................................................................................................... 578Übersicht über kerberisierte Befehle ....................................................................................... 579Weiterleiten von Kerberos-Tickets .......................................................................................... 581Verwenden kerberisierter Befehle (Beispiele) ........................................................................ 583

27 Der Kerberos-Service (Referenz) .....................................................................................................587Kerberos-Dateien .............................................................................................................................. 587Kerberos-Befehle ............................................................................................................................... 589Kerberos-Dämonen .......................................................................................................................... 590Kerberos-Terminologie .................................................................................................................... 591

Kerberos-spezifische Terminologie ......................................................................................... 591Authentifizierungsspezifische Terminologie ......................................................................... 591Typen von Tickets ...................................................................................................................... 593

Funktionsweise des Kerberos-Authentifizierungssystems ........................................................... 598Interaktion des Kerberos-Service mit DNS und der Datei nsswitch.conf .............................. 598Erhalten von Zugriff auf einen Service mit Kerberos .................................................................... 598

Abrufen eines Berechtigungsnachweises für den Ticket-gewährenden Service ................ 599Abrufen eines Berechtigungsnachweises für einen Server .................................................... 600Abrufen von Zugriff auf einen bestimmten Service ............................................................... 601

Verwenden von Kerberos-Verschlüsselungstypen ....................................................................... 602Verwenden der Tabelle gsscred ..................................................................................................... 604Wesentliche Unterschiede zwischen Oracle Solaris Kerberos und MIT Kerberos ................... 605

Inhalt

19

Teil VII Prüfung bei Oracle Solaris ............................................................................................................... 607

28 Prüfung bei Oracle Solaris (Übersicht) ........................................................................................... 609Was ist eine Prüfung? ........................................................................................................................ 609Wie funktioniert eine Prüfung? ....................................................................................................... 611Welcher Zusammenhang besteht zwischen Prüfung und Sicherheit? ........................................ 612Terminologie und Konzepte der Prüfung ...................................................................................... 613

Prüfereignisse ............................................................................................................................. 614Prüfklassen und Vorauswahl .................................................................................................... 615Prüfdatensätze und Prüf-Token ............................................................................................... 616Prüf-Plugin-Module .................................................................................................................. 617Prüfprotokolle ............................................................................................................................ 617Speichern des Prüfpfads ............................................................................................................ 619Untersuchen des Prüfpfads ....................................................................................................... 620

Prüfung auf Systemen mit Oracle Solaris-Zonen .......................................................................... 620Erweiterungen der Prüffunktionen in der Solaris 10-Version ..................................................... 621

29 Planen der Oracle Solaris-Prüfung .................................................................................................623Planen der Oracle Solaris-Prüfung (Übersicht der Schritte) ........................................................ 623Planen der Oracle Solaris-Prüfung (Aufgaben) ............................................................................. 624

▼ So planen Sie die Prüfung der Zonen ....................................................................................... 624▼ So planen Sie Speicherplatz für Prüfdatensätze ...................................................................... 626▼ So planen Sie die zu prüfenden Personen und Objekte ......................................................... 627

Festlegen der Prüfrichtlinien ............................................................................................................ 629Prüfrichtlinien für asynchrone und synchrone Ereignisse ................................................... 632

Steuerung des Prüfungsaufwands ................................................................................................... 633Höhere Verarbeitungszeit der Prüfungsdaten ....................................................................... 633Aufwand für Analyse der Prüfungsdaten ................................................................................ 634Aufwand für Speicherung der Prüfungsdaten ........................................................................ 634

Effiziente Prüfung .............................................................................................................................. 635

30 Verwalten der Oracle Solaris-Prüfung (Aufgaben) ...................................................................... 637Prüfung bei Oracle Solaris (Übersicht der Schritte) ...................................................................... 637Konfigurieren der Prüfdateien (Übersicht der Schritte) ............................................................... 638

Inhalt


Konfigurieren von Prüfdateien (Aufgaben) ................................................................................... 639▼ So ändern Sie die Datei audit_control .................................................................................. 639▼ So konfigurieren Sie syslog-Prüfprotokolle .......................................................................... 641▼ So ändern Sie die Prüfmerkmale eines Benutzers .................................................................. 644▼ So fügen Sie eine Prüfklasse hinzu ........................................................................................... 646▼ So ändern Sie die Klassenmitgliedschaft eines Prüfereignisses ............................................ 647

Konfigurieren und Aktivieren des Prüfservice (Übersicht der Schritte) .................................... 648Konfigurieren und Aktivieren des Prüfservice (Aufgaben) ......................................................... 649

▼ So erstellen Sie Partitionen für Prüfdateien ............................................................................ 649▼ So konfigurieren Sie den E-Mail-Alias audit_warn .............................................................. 653▼ So konfigurieren Sie die Prüfrichtlinie .................................................................................... 653▼ So aktivieren Sie den Prüfservice ............................................................................................. 656▼ So deaktivieren Sie den Prüfservice ......................................................................................... 658▼ So aktualisieren Sie den Prüfservice ......................................................................................... 659

Konfigurieren des Prüfservice in Zonen (Aufgaben) .................................................................... 660▼ So können Sie alle Zonen für die Prüfung identisch konfigurieren ..................................... 661▼ So konfigurieren Sie eine zonenweise Prüfung ...................................................................... 663

Verwalten der Prüfdatensätze (Übersicht der Schritte) ................................................................ 665Verwalten der Prüfdatensätze .......................................................................................................... 665

▼ So zeigen Sie Prüfdatensatzformate an .................................................................................... 665▼ So führen Sie Prüfdateien aus dem Prüfpfad zusammen ...................................................... 667▼ So wählen Sie Prüfereignisse aus dem Prüfpfad aus .............................................................. 669▼ So zeigen Sie den Inhalt der binären Prüfdateien an .............................................................. 671▼ So bereinigen Sie eine Prüfdatei des Typs not_terminated ................................................. 673▼ So verhindern Sie eine Prüfpfadüberlauf ................................................................................ 674

Fehlerbehebung bei der Oracle Solaris-Prüfung (Aufgaben) ....................................................... 675Fehlerbehebung bei der Oracle Solaris-Prüfung (Übersicht der Schritte) ................................. 675

▼ So können Sie die Ausführung der Oracle Solaris-Prüfung feststellen ............................... 676▼ So verringern Sie den Umfang der erstellten Prüfdatensätze ............................................... 679▼ So prüfen Sie alle Befehle der Benutzer ................................................................................... 680▼ So suchen Sie nach Prüfdatensätzen der Änderungen an bestimmten Dateien ................. 683▼ So ändern Sie die Vorauswahlmaske eines Benutzers ........................................................... 683▼ So verhindern Sie die Prüfung bestimmter Ereignisse .......................................................... 685▼ So beschränken Sie die Größe binärer Prüfdateien ............................................................... 686▼ So prüfen Sie Anmeldungen von anderen Betriebssystemen ............................................... 686▼ So prüfen Sie FTP- und SFTP-Dateiübertragungen .............................................................. 687

Inhalt

21

31 Prüfung bei Oracle Solaris (Referenz) ............................................................................................ 689Befehle zur Prüfung ........................................................................................................................... 689

Dämon auditd ........................................................................................................................... 690Befehl audit ................................................................................................................................ 691Befehl bsmrecord ....................................................................................................................... 691Befehl auditreduce ................................................................................................................... 691Befehl praudit ........................................................................................................................... 693Befehl auditconfig ................................................................................................................... 695

Im Prüfservice verwendete Dateien ................................................................................................ 695Datei system ............................................................................................................................... 696Datei syslog.conf .................................................................................................................... 696Datei audit_class .................................................................................................................... 696Datei audit_control ................................................................................................................ 697Datei audit_event .................................................................................................................... 698Skript audit_startup ............................................................................................................... 699Datenbank audit_user ............................................................................................................. 699Skript audit_warn ..................................................................................................................... 700Skript bsmconv ............................................................................................................................ 701

Berechtigungsprofile für Verwalten der Prüfung .......................................................................... 702Prüfung und Oracle Solaris-Zonen ................................................................................................. 702Prüfklassen ......................................................................................................................................... 703

Definitionen der Prüfklassen .................................................................................................... 703Syntax der Prüfklassen .............................................................................................................. 704

Prüf-Plugins ....................................................................................................................................... 706Prüfrichtlinie ...................................................................................................................................... 706Verarbeiten der Prüfungsmerkmale ............................................................................................... 707Prüfpfad .............................................................................................................................................. 707Namenskonventionen für binäre Prüfdateien ............................................................................... 708

Namen von binären Prüfdateien .............................................................................................. 708Zeitstempel für binäre Prüfdateien .......................................................................................... 709

Struktur von Prüfdatensätzen .......................................................................................................... 709Analyse von Prüfdatensätzen ................................................................................................... 710

Formate der Prüf-Token ................................................................................................................... 711Token acl ................................................................................................................................... 712Token arbitrary (veraltet) ...................................................................................................... 713Token arg ................................................................................................................................... 714

Inhalt


Token attribute ....................................................................................................................... 714Token cmd ................................................................................................................................... 715Token exec_args ....................................................................................................................... 715Token exec_env ......................................................................................................................... 716Token exit (veraltet) ................................................................................................................ 716Token file ................................................................................................................................. 716Token group (veraltet) .............................................................................................................. 717Token groups ............................................................................................................................. 717Token header ............................................................................................................................. 717Token ip_addr ........................................................................................................................... 718Token ip (veraltet) ..................................................................................................................... 719Token ipc ................................................................................................................................... 719Token ipc_perm ......................................................................................................................... 720Token iport ............................................................................................................................... 720Token opaque (veraltet) ............................................................................................................ 721Token path ................................................................................................................................. 721Token path_attr ....................................................................................................................... 722Token privilege ....................................................................................................................... 722Token process ........................................................................................................................... 722Token return .................................................

Systemverwaltungshandbuch: Sicherheitsservices · SozeigenSieDateiinformationenan.....143...

Documents

Transcript of Systemverwaltungshandbuch: Sicherheitsservices · SozeigenSieDateiinformationenan.....143...